文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | 免费看大片 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院 数码学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络学院工具软件加密破解怎样脱用 Aspack2.12 加的壳(适合初学者)
精品推荐
特别推荐
·DVD影片(区码)的保护与破解
·常用破解网络密码的方法多个
·攻破Windows系统加密保护之EFS解密
·巧用系统自带功能给文件夹加密
·加密文件看见“照妖镜”还不显原型
·破解入门教学(二)
·破解光盘加密:把DVD大片拷到硬盘上看
·远程主机探测技术FAQ集 - 扫描篇
·网络游戏封包基础
·轻松破解:打开丢失密码的笔记本
·轻松破解丢失密码的笔记本电脑
·软件狗[Dongles]的加密与解密技术
·CMOS破解完全手册
·五种windows密码设置及破解
·共享软件杀手:黑客常用十大破解工具
·如何学好破解这门技术
·借助工具 为BitComet轻松去广告
·七种加密解密
·破解windowsXP,window2000的开机密码
·破解程序及注册机使用方法
热点TOP10
·破解windowsXP,window2000的开机密码
·破解基础知识汇编
·常用破解网络密码的方法多个
·破解程序及注册机使用方法
·软件狗[Dongles]的加密与解密技术
·压缩文件的密码破解
·101款精典黑客小工具
·网络游戏封包基础
·共享软件杀手:黑客常用十大破解工具
·五种windows密码设置及破解
·破解入门教学(二)
·openssl的man中文文档
·Md5密码破解武器大揭密
·暴力破解动网论坛密码程序
·静态分析技术-IDA Pro简介
·文晟扫描5. 0 之破解经过 算法分析
·破解的一部分注册码!希望能帮到大家,
·溯雪使用说明
·破解光盘加密:把DVD大片拷到硬盘上看
·获得键盘扫描码

怎样脱用 Aspack2.12 加的壳(适合初学者)
日期:2007年6月2日 作者: 查看:[大字体 中字体 小字体]

今天上网下载了个 Aspack2.12,不知它的加壳有没有变化,让我们来看看。
试验对象是 Windows 自带的记事本程序,压缩前 52KB,压缩后 32.5KB。好,开工了。

先用 fi 检查壳的类型,报告显示 PE Win GUI *UNKNOWN*,没关系,自己加的壳还用怀疑吗。
接着用 Trw2000 加载程序,Load,程序被中断在如下代码处

0167:0040D001 60 PUSHAD
0167:0040D002 E803000000 CALL 0040D00A

按 F8 跟进去(这时如果按 F10 的话程序会直接运行)

0167:0040D00A 5D POP EBP
0167:0040D00B 45 INC EBP
0167:0040D00C 55 PUSH EBP
0167:0040D00D C3 RET

按一下 F10 看到下面的代码

0167:0040D008 EB04 JMP 0040D00E

按一下 F10 看到下面的代码

0167:0040D00E E801000000 CALL 0040D014

按 F8 跟进去,来到下面

0167:0040D014 5D POP EBP
0167:0040D015 BBEDFFFFFF MOV EBX,FFFFFFED
0167:0040D01A 03DD ADD EBX,EBP
0167:0040D01C 81EB00D00000 SUB EBX,0000D000
0167:0040D022 83BD2204000000 CMP DWord Ptr [EBP+00000422],00000000
0167:0040D029 899D22040000 MOV [EBP+00000422],EBX
0167:0040D02F 0F8565030000 JNZ 0040D39A (NO JUMP) <--- 注意,下断点 bpx 0040D39A
0167:0040D035 8D852E040000 LEA EAX,[EBP+0000042E]
0167:0040D03B 50 PUSH EAX
0167:0040D03C FF954D0F0000 CALL Near [`KERNEL32!GetModuleHandleA`]
0167:0040D042 898526040000 MOV [EBP+00000426],EAX
0167:0040D048 8BF8 MOV EDI,EAX
0167:0040D04A 8D5D5E LEA EBX,[EBP+5E]
0167:0040D04D 53 PUSH EBX
0167:0040D04E 50 PUSH EAX
0167:0040D04F FF95490F0000 CALL Near [`KERNEL32!GetProcAddress`]

下断点后,按 F5,程序来到下面的代码处

0167:0040D39A B8CC100000 MOV EAX,000010CC
0167:0040D39F 50 PUSH EAX
0167:0040D3A0 038522040000 ADD EAX,[EBP+00000422]
0167:0040D3A6 59 POP ECX
0167:0040D3A7 0BC9 OR ECX,ECX
0167:0040D3A9 8985A8030000 MOV [EBP+000003A8],EAX
0167:0040D3AF 61 POPAD <--- 关键字,入口点就在附近
0167:0040D3B0 7508 JNZ 0040D3BA
0167:0040D3B2 B801000000 MOV EAX,00000001
0167:0040D3B7 C20C00 RET 000C
0167:0040D3BA 6800000000 PUSH 00000000
0167:0040D3BF C3 RET <--- 从这返回后我们就来到程序的真正入口点

下面就是程序的真正入口点

0167:004010CC 55 PUSH EBP
0167:004010CD 8BEC MOV EBP,ESP
0167:004010CF 83EC44 SUB ESP,00000044
0167:004010D2 56 PUSH ESI
0167:004010D3 FF15E4634000 CALL Near [`KERNEL32!GetCommandLineA`]

返回到真正入口点后,下指令 suspend 挂起调试器,打开 PEditor,按下 tasks 按钮,在列表中选中你的程序,点右键,选择菜单命令 dump(full) 把进程保存到文件中,保存后杀掉进程。

上面的方法对其它的程序也一样适用(我测试了好几个程序,它们在调试器所显示的代码形式都差不多),用这种方法脱壳后的程序可以直接运行。

附上 Procdump 的 Script:
[Aspack2.12]
L1=OBJR
L2=LOOK 61,75
L3=BP
L4=STEP
OPTL1=00000000
OPTL2=01010001
OPTL3=01010001
OPTL4=00030000
OPTL5=00000000进入讨论组讨论。

[1] [2] 下一页 




上一篇:压缩与脱壳-PE文件格式 五

下一篇:实现调用加壳的外壳中的子程序的一点见解

怎样脱用 Aspack2.12 加的壳(适合初学者) 相关文章:
·十进制数怎样转成十六进制数?
·男妓是怎样干活的——记者暗访鸭群
·怎样清除硬盘及系统垃圾文件?
·高手教你怎样在网上轻松赚钱
·怎样永久激活Windows Vista?
·怎样的女孩才是真正的爱你
·男人喜欢怎样接吻
·CISCO 技术大集合:N多适合你们的技术
·怎样彻底删除多余的输入法
·怎样制作网页?
怎样脱用 Aspack2.12 加的壳(适合初学者) 相关软件:
·红太阳是怎样升起的:延安整风运动的来龙去脉
·老板是怎样炼成的
·适合汇报的PPT最新模板 PPT
·局域网设置视频教学 rar 献给电脑初学者 一个帐号两个人用
·100个ASP初学者必研究的小程序
·怎样写大学英语图表式作文
·来自对外贸易大学的 ACCA财务报表分析(初学者必下)
·怎样成为象棋高手
·外研社出版的<<英语中级听力>> MP3 挺适合我们大学生的!
·局域网设置视频教学 rar 献给电脑初学者 宿舍连网玩游戏

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.vipcn.net
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved. 鄂ICP备05000083号Powered by:viphot